Th11
Active Directory là một kiến trúc của Microsoft, được giới thiệu lần đầu tiên vào năm 1999 với phiên bản Windows 2000 Server. Trải qua hơn 20 năm với 10 phiên bản của Windows Server, Active Directory vẫn được sử dụng rộng rãi trong các doanh nghiệp và tổ chức trên toàn thế giới. Để hiểu rõ hơn về Active Directory là gì? và cách cài đặt nó như thế nào trên Windows Server 2019, hãy cùng Máy Chủ Vina tìm hiểu trong bài viết sau.
Active Directory là gì?
Active Directory (AD) là một dịch vụ thư mục được phát hành bởi Microsoft. Đây là kiến trúc không thể thiếu trên hệ điều hành Windows Server. Với khả năng quản trị tập trung các nguồn tài nguyên trong một hệ thông mạng. Active Directory được sử dụng trong mô hình mạng “Server – Client”.
Active Directory ban đầu chỉ phụ trách quản lý những tên miền tập trung và bắt đầu cùng Windows Server 2008. Nhưng sau đó Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer, group cung cấp những dịch vụ (Directory Services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hỗ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẻ của hệ thống với những quyền hạn hợp lệ.
Các tính năng của Active Directory
- Dịch vụ miền (Active Directory Domain Services – AD DS): Chức năng chính của AD DS là lưu trữ dữ liệu và quản lý thông tin liên lạc giữa người dùng và Domain Controller (DC), giúp thông tin của bạn được bảo đảm.
- Cung cấp chứng chỉ: Cho phép DC của bạn cung cấp chứng chỉ số, chữ ký và mật mã khóa công khai.
- Thư mục nhẹ: Được hỗ trợ LDAP cho các dịch vụ miền đa nền tảng, giống như bất kỳ máy tính Linux nào trong mạng của bạn. Thư mục lưu trữ dung lượng nhỏ, giúp dễ dàng lưu trữ thông tin mà không lo lắng rằng file quá nặng, hay tốc độ sẽ load chậm hơn.
- Chức năng liên kết thư mục: Cung cấp xác thực cho nhiều ứng dụng trong cùng một phiên, vì vậy người dùng không phải tiếp tục cung cấp cùng một thông tin đăng nhập.
- Quyền quản lý dữ liệu: Cung cấp cho bạn quyền kiểm soát thông tin chính xác về chính sách truy cập dữ liệu.
Cấu trúc của Active Directory
Active Directory cung cấp cho người dùng một cơ chế để quản lý các tài nguyên mạng, bao gồm các tài nguyên như computer, user, group, container và các thiết bị khác. Active Directory được tổ chức theo cấu trúc phân cấp, trong đó các đối tượng được sắp xếp theo các đơn vị tổ chức khác nhau. Cấu trúc của AD bao gồm các thành phần sau:
Active Directory Objects
Dữ liệu trong Active Directory được tổ chức dưới dạng các đối tượng (objects), bao gồm thông tin về user, máy in, server, database, group, computer và security policies. Mỗi object có những thuộc tính riêng đặc trưng cho object đó.
Ví dụ, như object user có các thuộc tính liên quan như First Name, Last Name, … và object computer có các thuộc tính như computer name, IP address cùng description.
Một số object đặc biệt bao gồm nhiều object khác bên trong được gọi là các “container”.
Ví dụ, domain là một container bao gồm nhiều user account và computer.
Active Directory Schema
Trong Active Directory, database lưu trữ chính là AD Schema. Schema định nghĩa các loại đối tượng và thuộc tính của các đối tượng đó. Nhưng schema lưu trữ những đối tượng như thế nào?. Thực chất, schema được lưu dưới dạng một danh sách các các định nghĩa xác định các loại đối tượng và các thông tin của các đối tượng đó. Về bản chất thì schema cũng được lưu trữ như một object. Schema được định nghĩa gồm hai đối tượng là Schema Class objects và Schema Attribute objects.
Schema Class objects
Schema Class objects có chức năng tương tự như một template để tạo mới các đối tượng trong AD. Mỗi Schema Class là một tập hợp các thuộc tính của đối tượng. Nếu tạo một đối tượng thuộc về một loại Schema Class, thì Schema Attribute sẽ lưu trữ các thuộc tính trong đối tượng đó tương ứng với loại Schema Class trong đối tượng đó
Schema Attribute objects
Schema Attribute objects sẽ định nghĩa các Schema Class tương ứng với nó. Mỗi thuộc tính chỉ được định nghĩa một lần trong AD và có thể thuộc nhiều Schema Class theo quan hệ một nhiều(1-m).
Mặc định, Active Directory được đóng gói với một tập hợp các Schema Class và Schema Attribute. Tuy nhiên, Schema trong Active Directory đã mở ra 1 khả năng về phát triển mở rộng những Schema Class trên những Attribute có sẵn hoặc tạo mới những Attribute Schema. Nhưng để có thể mở rộng cũng như phát triển cùng với schema, thì cần phải xem xét là có cần hay không và cần chuẩn bị kỹ lưỡng qua các bản vẽ. Do rủi ro của việc này đến các hệ thống đang hoạt động ổn định là khá cao.
Active Directory Components
Trong mô hình mạng doanh nghiệp, các components của AD được áp dụng để xây dựng nên các mô hình phù hợp với nhu cầu các doanh nghiệp. Xét về khía cạnh mô hình kiến trúc của AD thì ta phân làm 2 loại là Logical Structure và Physical Structure.
Logical Structure
Trong AD, việc tổ chức tài nguyên được dựa trên cơ chế Logical Structure được ánh xạ qua mô hình Domain, OUs, Trees, và Forest các nhóm tài nguyên được tổ chức một cách luận lý cho phép bạn dễ dàng truy suất đến tài nguyên hơn mà không phải nhớ vị trí vật lý của nó.
- Domain: Nơi lưu trữ hàng triệu đối tượng (objects). Tất cả các đối tượng trong hệ thống mạng trong một domain đều được lưu trữ thông tin bởi chính domain đó. AD được tạo ra bởi một hoặc nhiều domain, và một domain có thể triển khai trên nhiều physical structure. Việc truy cập vào domain được quản trị thông qua Access Control Lists (ACLs), quyền truy xuất trên domain tương ứng với từng đối tượng.
- OUs: là một container được sử dụng để tổ chức các đối tượng trong một domain thành các nhóm quản trị luận lí (logical). OUs cung cấp phương tiện thực hiện các tác vụ quản trị trong hệ thống như quản trị user và resources, đó là những scope đối tượng nhỏ nhất mà bạn có thể ủy quyền xác thực quản trị. OUs bao gồm nhiều đối tượng khác như là user accounts, groups, computers và các OUs khác tạo nên các cây OUs trong cùng một domain. Các cây OUs trong một domain độc lập với kiến trúc các cây OUs thuộc các domain khác.
- Trees: là một nhóm các domain được tổ chức theo cấu trúc hình cây với mô hình parent-child ánh xạ từ thực tế tổ chức của doanh nghiệp, tổ chức. Một domain có thể có một hoặc nhiều child domain, nhưng một child domain chỉ có một parent-domain mà thôi. Ví dụ, Trong domain maychuvina.com có các domain khác thấp hơn là tuyendung.maychuvina.com hay kinhdoanh.maychuvina.com thì được hiểu là Tree.
- Forest: là thuật ngữ được đặt ra để định nghĩa một mô hình tổ chức của AD. Một forest bao gồm nhiều domain trees có quan hệ với nhau. Các domain trees trong forest là độc lập với nhau về tổ chức, tuy nhiên mối quan hệ giữa các domain trees là quan hệ Trust 2 chiều giống như các partners với nhau. Một forest phải đảm bảo thoả các đặc tính sau:
– Toàn bộ domain trong forest phải có một schema chia sẻ chung.
– Các domain trong forest phải có một global catalog chia sẻ chung.
– Các domain trong forest phải có mối quan hệ trust 2 chiều với nhau.
– Các tree trong một forest phải có cấu trúc tên (domain name) khác nhau.
– Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp.
Physical Structure
Nếu xét về khía cạnh physical component của AD, nó bao gồm 2 phần là Sites và Domain Controllers. Tùy thuộc vào mô hình tổ chức của công ty mà người quản trị sẽ phải sử dụng các components này để thiết kế sao cho phù hợp.
Hướng dẫn cấu hình và cài đặt Active Directory trên Windows server 2019
Đối với các phiên bản từ Windows Server 2012 trở đi lệnh Dcpromo không được sử dụng được nữa. Để tạo Domain Controller thì phải vào ADDS (Active Directory Domain Services) từ giao diện quản lý – Server Manager.
Bước 1: Cấu hình IP tĩnh cho Server.
Trên Dashboard của Server Manager, chọn vào Add roles and features
Sau đó, chọn Next để tiếp tục cài đặt.
Nhấn Next.
Next
Tại Server Roles, chọn vào Active Directory Domain Services và DNS Server.
Tại Features, chọn Next để tiếp tục cài đặt.
Tại AD DS và DNS Server, nhấn Next và giữ nguyên cấu hình để tiếp tục cài đặt
Tại Confirmation, chọn Install để tiến hành cài đặt những dịch vụ trong Domain Controller
Sau khi chọn Install, bạn đợi khoảng 2 phút để cài đặt hoàn thành
Bước 2: Tạo Domain Controller
Sau khi cài đặt xong Domain Controller, một biểu tượng cảnh báo sẽ xuất hiện ở góc trên bên phải của cửa sổ. Nhấp vào biểu tượng này và chọn Promote this server to a domain controller
Trên Deployment Configuration có ba tùy chọn để bạn lữa chọn
– Thêm một Domain vào Domain đã có sẵn.
– Thêm một Domain mới vào Forest có sẵn.
– Thêm một Forest mới
Tại đây sẽ chọn thêm một Forest mới với tên miền: Maychuvina.com
Tiếp theo tại Domain Controller Options đặt mật khẩu để khôi phục AD ở chế độ Restore Mode.
Do không được cài DNS trước như Server 2003 nên thấy cảnh báo không được Zone, vấn đề này ta sẽ cấu hình DNS sau. Nhấn Next để tiếp tục.
Tại Addiontonal Options, chọn tên NetBIOS domain. Ở đây sẽ để mặc định:
Tại màn hình Paths, chọn đường dẫn lưu database của PAD, logs, SYSVOL. Ở đây để mặc định.
Tại Prerequisites Check kiểm tra các điều kiện để cài đặt DC. Sau khi kiểm tra xong, chọn Install để bắt đầu cài đặt.
Sau khi hoàn tất cài đặt, restart lại máy để hoàn thành quá trình cài đặt Active Directory Domain Services. Vậy là bây giờ chúng ta đã có thể tạo User, Group, GPO… trên DC. Trong các bài tiếp theo, mình sẽ giới thiệu về FSMO roles và các chức năng của FSMO roles.
